[ thugic @ 21.12.2005. 14:37 ] @
Ovako,
podesio sam svoj stari PC (Celeron 700MHz, 128MB Ram, 20Gb Hdd) kao router sa Slackware 10.2, Kernel 2.4.31 (default) i nekako "sklopio" iptables (ostavio samo "potrebne" portove otvorene).
Taj PC je prikopchan na Internet (Adsl 4Mbit) preko eth0, a jedan Windows/Linux client je umrezen preko eth1.
Moje pitanje je sledece:
Dali je moguce da se na tom "routeru" instalira neki antivirus koji ce proveravati sve podatke real-time trazeci malware,viruse,i ako je moguce, spyware, pre nego shto stignu Windows mashini?
Npr. na Windowsu pochnem da skidam neki fajl "abc.zip" koji je inficiran ne znam kojim virusom, sada nemogu da znam dali je taj fajl inficiran (ne koristim AntiVirus na Win-u, niti planiram :) )...

Nadam se da sam bio jasan i shtovishe nadam se da ce neko da mi razjasni to bilo kako.

Puno hvala ;)
[ noctua @ 22.12.2005. 07:07 ] @
Pozdrav!

Koliko je meni poznato, sto ne mora da znaci da je tacno, to sto bi ti hteo, u realnom vremenu je (ne)moguce.
Ono sto sigurno znam da moze je (sa tim sam se sretao i provereno je u praksi - nisam ja konfigurisao):
1. Filtriranje poste - Samo na toj maxini moras da imas lokalni mail server koji ce sluziti da za transport mailova u oba smera (spolja <-> unutra) i usput cistiti/proveravati viruse. KAV ima softver koji to radi pod linuxima a postoje i jos poneki proizvodjaci. Problem sa ovakvom akcijom sto je komplikovana za setup, i mozda nije free (valjda KAV kosta po broju mail naloga...)
2. Proxy. Ali moras se pomuciti da pronadjes "plug-in", modul, ili sta vec, koji ce celokupan download filtrirati. Taj mehanizam sam vidjao i perfektno radi po principu:
- User na klijent-maxini uradi CLICK na download link
- Proxy preuzme na sebe download
- Proxy skine fajl(ove) i proveri ih
- Proxy vrati link korisniku gde su snimljeni doticni fajlovi na HDD-u kod proxy-servera
- Korisnik ponovo CLICK i preuzima ih kod sebe na klient
A ako nesto nije u redu sa zahtevanim fajlovima, proxy samo baci obavestenje o problemu i pobrise fajlove kod sebe.
Problemi kod ovoga je proxy koji je komplikovan za setup, i izuzetno komplikovano podesavanje samog filtera (plug-ina za proxy) jer ukoliko je po defaultu, proxy ce seci i JavaScript tretirajuci ga kao Virus-Activity pa neces moci da vidis pola menija koji rade na DOM principu (direktno pristupaju stavkama po DOM stablu)
E, sad, ukoliko hoces da ti proxy skida sve sto bi bio moglo da naskodi win-u, pola stranica na Net-u neces moci da vidis... A ako popustis proxy, onda dzaba ga imas...

Razmotri sledece resenje:
Ulozi nesto malo novaca za bolje (citaj brze) kartice i kablove i koristi Linux za surf, preko VNC-a!!! Udobno se uvalis u Win a napolje ides preko Lin-a.
Ustedeces sebi mnogo muka!
Ovo poslednje je resenje koje ja koristim kuci ima vec duze vreme i sasvim sam se navikao. Mail i surf idu iskljucivo preko lin-a i glava me uopste ne boli! Firewall mi je podesen da ne pusta nista na relaciji internet <-> intranet a sve sto mi je potrebno od spolja, uradim preko VNC-a i/ili putty-a sa samog firewala...
(Jedna poslastica: niti jedan Win Download Manager, ili kako god se vec zove, ne moze da se nosi sa obicnom linux-ovim wget-om!!! Pa jos ako malo poznajes perl, i-ha-ha! skidaces ti i nemoguce stvari!)

Ukoliko neko ima (cuo, video, probao) neko bolje resenje(a) neka podeli to sa ovde sa nama jer bih i ja bas voleo da vidim i cujem sta jos moze da se uradi po tom pitanju...
[ nkrgovic @ 23.12.2005. 21:11 ] @
Citat:
noctua:
2. Proxy. Ali moras se pomuciti da pronadjes "plug-in", modul, ili sta vec, koji ce celokupan download filtrirati. Taj mehanizam sam vidjao i perfektno radi po principu:
- User na klijent-maxini uradi CLICK na download link
- Proxy preuzme na sebe download
- Proxy skine fajl(ove) i proveri ih
- Proxy vrati link korisniku gde su snimljeni doticni fajlovi na HDD-u kod proxy-servera
- Korisnik ponovo CLICK i preuzima ih kod sebe na klient
A ako nesto nije u redu sa zahtevanim fajlovima, proxy samo baci obavestenje o problemu i pobrise fajlove kod sebe.


Postoje komercijalna resenja za ovo. Symantec i Trend Micro su da za koja sam siguran, od kojih sam Tren Micro vise testirao. Rade OK, funkcionise sve kako treba. Prednost je sto ne koristis genericki proxy (a'la squid) sa kojim integrises AV vec je sve vec spakovano. Mana je, naravno, cena :).

Takodje, mislim da je moguce ubaciti ClamAV kao modul i u Postfix ili Qmail mail, i u Squid proxy, ali se ja sa time nisam igrao.

EDIT : Sad procitah da ne koristis AV na windowsu. Zaboravi ti lepo na ovu celu pricu, batice... Ovo jeste dobro resenje za zastitu mreze, ali kao JEDINO resenje, nemoj ni pokusavati. Lepo otvori se sirom da ti udje sta god pozeli (pun intended) i i dalje ne koristi nista. Sigurnost sistema nije "stavim ja nesto ispod, i ja sam miran da radim sta hocu" vec vrlo ozbiljan problem, koji koristi vise slojeva, ali cije resavanje pocinje i zavrsava se na desktop-u. Ostavicu ovo za nekog drugog, kome mozda bude trebalo. :)

[Ovu poruku je menjao nkrgovic dana 23.12.2005. u 22:14 GMT+1]
[ noctua @ 28.12.2005. 07:08 ] @
Pozdrav!

Sad i ja videh:
Citat:
thugic: (ne koristim AntiVirus na Win-u, niti planiram

I ja ne koristim, ali nikad (pa ni onda pa ni tad! : - ) ne izlazim iz Win-a napolje! Iskljucivo Lin kroz VNC!
Poenta ovog je da je Win ranjiv i iznutra. Lako ces iseci ono sto dolazi od spolja, ali takodje, lako se napati nesto iz sasvim drugih izvora (komsijin mali sa brand new igricom, kolega sa posla/faxa/fudbala ima nesto novo, zadnji update skinut kod nekoga...)
Kapiras problem?
A jednom kad zapatis nesto, to nesto ima da ide vani jer pretpostavljam da nisi zatvarao unutrasnji saobracaj...

Dakle, ako hoces safe win... "***i ga momci... sta da vam kazem?"
[ minikola @ 06.01.2006. 01:03 ] @
"noctua" wrote:


Citat:

A jednom kad zapatis nesto, to nesto ima da ide vani jer pretpostavljam

da nisi zatvarao unutrasnji saobracaj...


Dakle, ako hoces safe win... "***i ga momci... sta da vam kazem?" :(



Da radi kao korisnik pod Win-om

a ne kao administrator, za početak? ;)

[ dpop @ 14.02.2006. 12:59 ] @
linux FW+Proxy+content filtering u realnom vremenu ( HTTP, FTP, SMTP, POP3 ) je i na Slack-u kao i na svim drugim distroima moguć ali ne out_of_the_box kao kod nekih namjenski pripremljenih.
Ja za te namjene koristim Endian sad već u v.1.1.rc8 ( nastao od IPCop-a )
http://www.efw.it
http://www.endian.it
http://www.ipcop.org
http://www.ipfire.org
Jako sam zadovoljan i sa SpamAsassin fitriranjem i ostalim gadget-ima.
I ja sam fun_of_slackware ali mi je ovo lakše/elegantnije.
Inače, enterprise level rješenja tipa Astaro su u osnovi slična samo nisu FREE :) a client licence su OHO_HO.....



[Ovu poruku je menjao dpop dana 17.02.2006. u 14:21 GMT+1]
[ Ivic@ @ 16.02.2007. 22:22 ] @
Pogledaj

http://www.clarkconnect.com/

kao i

http://www.elitesecurity.org/t...kConnect-Linux-Routing-Nirvana
http://www.elitesecurity.org/t119971-Clarkconnect-koristi-li-tko
http://www.elitesecurity.org/t...ustva-sa-brojem-korisnika-Clar